Galvenā atšķirība starp pakešu uztveršanu, izmantojot tīkla TAP un SPAN portus.
Portu spoguļošana(pazīstams arī kā SPAN)
Tīkla pieskāriens(pazīstams arī kā replikācijas pieslēgvieta, agregācijas pieslēgvieta, aktīvā pieslēgvieta, vara pieslēgvieta, Ethernet pieslēgvieta utt.)TAP (termināla piekļuves punkts)ir pilnībā pasīva aparatūras ierīce, kas var pasīvi uztvert datplūsmu tīklā. To parasti izmanto, lai uzraudzītu datplūsmu starp diviem tīkla punktiem. Ja tīkls starp šiem diviem punktiem sastāv no fiziska kabeļa, tīkla TAP var būt labākais veids, kā uztvert datplūsmu.
Pirms abu risinājumu (Port Mirror un Network Tap) atšķirību izskaidrošanas ir svarīgi saprast, kā darbojas Ethernet tīkls. Ar ātrumu 100 Mbit un vairāk resursdatori parasti sazinās pilnā dupleksā, kas nozīmē, ka viens resursdators var vienlaikus sūtīt (Tx) un saņemt (Rx). Tas nozīmē, ka pa 100 Mbit kabeli, kas savienots ar vienu resursdatoru, kopējais tīkla datplūsmas apjoms, ko viens resursdators var nosūtīt/saņemt (Tx/Rx), ir 2 × 100 Mbit = 200 Mbit.
Portu spoguļošana ir aktīva pakešu replikācija, kas nozīmē, ka tīkla ierīce ir fiziski atbildīga par paketes kopēšanu uz spoguļoto portu.
Satiksmes uztveršana: TAP pret SPAN
Uzraugot tīkla trafiku, ja nevēlaties tieši aktivizēt atbalstu, kamēr lietotājs apstrādā darījumu, jums ir divas galvenās iespējas. Šajā rakstā sniegsim pārskatu par TAP (Test Access Point — testa piekļuves punktu) un SPAN (Switch Port Analyzer — komutatora porta analizatoru). Lai veiktu padziļinātu analīzi, pakešu pārbaudes eksperts Timo'Nīls vietnē lovemytool.com ir publicējis vairākus ļoti detalizētus rakstus, taču šeit mēs izmantosim vispārīgāku pieeju.
SPAN
Portu spoguļošana ir tīkla datplūsmas uzraudzības metode, pārsūtot katra ienākošā un/vai izejošā paketes kopiju no viena vai vairākiem komutatora portiem (vai VLAN) uz citu portu, kas savienots ar tīkla datplūsmas analizatoru. Vienkāršākās sistēmās laidumus bieži izmanto, lai vienlaikus uzraudzītu vairākas vietnes. Precīzs tīkla pārraižu skaits, ko tas spēj uzraudzīt, ir atkarīgs no tā, kur SPAN ir uzstādīts attiecībā pret datu centra aprīkojumu. Jūs, iespējams, atradīsiet meklēto, taču ir viegli nonākt situācijā, kad datu ir pārāk daudz. Piemēram, ir iespējams atrast vairākas viena un tā paša datu kopijas visā VLAN. Tas apgrūtina lokālā tīkla problēmu novēršanu un ietekmē arī komutatora procesoru ātrumu vai Ethernet, izmantojot izvietojuma noteikšanu. Būtībā, jo vairāk laidumu, jo lielāka iespēja zaudēt paketes. Salīdzinot ar pieslēgumiem, laidumus var pārvaldīt attālināti, kas nozīmē, ka mazāk laika tiek pavadīts konfigurāciju maiņai, taču tīkla inženieri joprojām ir nepieciešami.
SPAN porti nav pasīva tehnoloģija, kā daži apgalvo, jo tiem var būt arī cita izmērāma ietekme uz tīkla trafiku, tostarp:
- Laiks mainīt kadru mijiedarbību
- Pakešu nomešana pārmērīgas meklēšanas dēļ
- Bojātas paketes tiek atmestas bez iepriekšēja brīdinājuma, kavējot analīzi.
Tāpēc SPAN porti ir piemērotāki situācijām, kad pakešu nomešana neietekmē analīzi vai kad tiek ņemtas vērā izmaksas.
PIESKARIETIES
Turpretī pieslēgvietām (Capi) ir jāiegādājas aparatūra jau sākotnēji, taču tām nav nepieciešama liela iestatīšana. Tā kā tās ir pasīvas, tās var pieslēgt tīklam un atvienot no tā, to neietekmējot. Pieslēgvietas ir aparatūras ierīces, kas nodrošina piekļuvi datiem, kas plūst caur datoru tīklu, un tās parasti izmanto tīkla drošības un veiktspējas uzraudzības nolūkos. Uzraudzīto trafiku sauc par "caurlaides" trafiku, un uzraudzībai izmantoto portu sauc par "uzraudzības portu". Lai skaidrāk pārbaudītu tīklu, pieslēgvietas var novietot starp maršrutētājiem un komutatoriem.
Tā kā TAP neietekmē paketes, to var uzskatīt par patiesi pasīvu veidu, kā apskatīt tīkla trafiku.
Pamatā ir trīs TAP risinājumu veidi:
- Tīkla sadalītājs (1:1)
- Kopējais TAP (vairāki: 1)
- Reģenerācijas TAP (1: vairāki)
TAP replicē datplūsmu uz vienu pasīvu uzraudzības rīku vai augsta blīvuma tīkla pakešu retranslācijas ierīci un apkalpo vairākus (bieži vien vairākus) QOS testēšanas rīkus, tīkla uzraudzības rīkus un tīkla snifera rīkus, piemēram, Wireshark.
Turklāt TAP veidi atšķiras atkarībā no kabeļa veida, tostarp optiskās šķiedras TAP un gigabitu vara TAP, abi darbojas būtībā vienādi, nododot daļu signāla tīkla datplūsmas analizatoram, kamēr galvenais modelis turpina pārraidīt bez pārtraukumiem. Optiskās šķiedras TAP gadījumā tas ir paredzēts stara sadalīšanai divās daļās, savukārt vara kabeļu sistēmā tas ir paredzēts elektriskā signāla replicēšanai.
TAP un SPAN salīdzinājums
Pirmkārt, SPAN ports nav piemērots pilna dupleksa 1G savienojumam, un pat tad, ja tā ietilpība ir zem maksimālās, tas ātri atmet paketes pārslodzes dēļ vai vienkārši tāpēc, ka komutators prioritizē regulārus datumus no porta uz portu, nevis SPAN porta datus. Atšķirībā no tīkla pieslēgumiem, SPAN porti filtrē fiziskā slāņa kļūdas, apgrūtinot dažu veidu analīzi, un, kā redzējām, nepareizi pieauguma laiki un mainīti kadri var radīt citas problēmas. No otras puses, TAP var darbināt pilna dupleksa 1G savienojumu.
TAP var veikt arī pilnīgu pakešu uztveršanu un padziļinātu pakešu pārbaudi, lai noteiktu protokolus, pārkāpumus, ielaušanās utt. Tādējādi TAP datus var izmantot kā pierādījumu tiesā, savukārt SPAN portu datus nevar.
Drošība ir vēl viens aspekts, kurā pastāv atšķirības starp abām metodēm. SPAN porti parasti ir konfigurēti vienvirziena saziņai, taču dažos gadījumos tie var arī saņemt saziņu, radot nopietnas ievainojamības. Turpretī TAP nav adresējams un tam nav IP adreses, tāpēc to nevar uzlauzt.
SPAN porti parasti nenodod VLAN tagus, kas var apgrūtināt VLAN kļūmju noteikšanu, taču pieslēgvietas nevar redzēt visu VLAN tīklu vienlaikus. Ja apkopotie pieslēgvietas netiek izmantotas, TAP nenodrošinās vienādu izsekošanu abiem kanāliem, taču ir jābūt uzmanīgiem ar pārslodzes noteikšanu. Ir apkopotie pieslēgvietas, piemēram, Booster for Profitap, kas apvieno astoņas 10/100/1G pieslēgvietas 1G-10G izvadē.
Pastiprinātājs spēj ievadīt paketes, ievietojot VLAN tagus. Tādā veidā katras paketes avota porta informācija tiks pārsūtīta uz analizatoru.
SPAN porti joprojām ir rīks, ko izmantos tīkla administratori, taču, ja kritiski svarīgs ir ātrums un uzticama piekļuve visiem tīkla datiem, labāka izvēle ir TAP. Izvēloties pieeju, SPAN porti ir piemērotāki tīkliem ar zemu noslodzi, jo pazaudētās paketes neietekmē analīzi vai ir neobligātas gadījumos, kad izmaksas ir svarīgas. Tomēr tīklos ar lielu datplūsmu TAP jauda, drošība un uzticamība nodrošinās pilnīgu tīkla datplūsmas pārskatāmību, nebaidoties no pakešu zuduma vai fiziskā slāņa kļūdu filtrēšanas.
○ Pilnībā redzams
○ Replikēt visu datplūsmu (visas visu izmēru un veidu paketes)
○ Pasīva, neuzbāzīga (nemaina datus)
○ Sērijās nav izmantotas komutatora pieslēgvietas, lai replicētu pilna dupleksa datplūsmu instalācijās. Vienkārša uzstādīšana (pievieno un lieto).
○ Nav neaizsargāts pret hakeriem (neredzama, no tīkla izolēta uzraudzības ierīce, bez IP/MAC adreses)
○ Mērogojams
○ Piemērots jebkurai situācijai
○ Daļēja redzamība
○ Netiek kopēta visa datplūsma (tiek atmesti noteikti pakešu izmēri un veidi)
○ Nepasīvs (maina pakešu laiku, palielina latentumu)
○ Izmantojiet komutatora portu (katrs SPAN ports izmanto komutatora portu)
○ Nespēj apstrādāt pilna dupleksa komunikāciju (pārslodzes gadījumā paketes tiek atmestas, kas var arī traucēt primārā komutatora darbību)
○ Inženieriem ir jākonfigurē
○ Nedrošs (uzraudzības sistēma ir daļa no tīkla, iespējamas drošības problēmas)
○ Nav mērogojams
○ Iespējams tikai noteiktos apstākļos
Jums varētu interesēt saistītais raksts: Kā uztvert tīkla trafiku? Tīkla pieskāriens pret Port Mirror
Publicēšanas laiks: 2025. gada 9. jūnijs
